بروتوكول المعرفة الصفرية Zerobase يتعرض للاختراق عبر الواجهة الأمامية، وتأثر أكثر من 270 مستخدمًا

أكثر من 270 مستخدمًا لشبكة الإثبات الصفري اللامركزية Zerobase تعرضوا لخسائر كبيرة بعد أن قام المهاجمون باختراق واجهة الويب الخاصة بالمنصة، مما أدى إلى سرقة أكثر من 240,000 دولار في USDT في هجوم منسق يوم الجمعة.

وفقًا لشركة تحليل السلاسل Lookonchain، بدأت حركة الأموال غير المصرح بها حوالي الساعة 2:30 مساءً بالتوقيت العالمي الموحد عندما تفاعل المستخدمون مع ما اعتقدوا أنه الواجهة الشرعية لـ Zerobase. يكشف الحادث عن ثغرة حرجة في كيفية حماية منصات البلوكشين لتطبيقاتها الموجهة للمستخدمين — إذ لم يكن المهاجمون بحاجة إلى اختراق البنية التحتية للبلوكشين نفسها.

كيف تطور هجوم الواجهة الأمامية

تُظهر المنهجية المستخدمة في هذا الهجوم تهديدًا متطورًا ولكنه يزداد شيوعًا. بدلاً من استهداف العقود الذكية على البلوكشين، قام الفاعلون الخبيثون بنشر عقد ذكي تصيدي على BNB Chain مصمم ليحاكي الواجهة الشرعية لـ Zerobase. عندما يتصل المستخدمون غير الحذرون بمحافظهم عبر الواجهة المخترقة، يُطلب منهم الموافقة على صلاحيات إنفاق USDT من خلال تفاعلات بروتوكولية تبدو عادية.

تم التعرف على العقد الخبيث، الذي حدده منصة أمان البلوكشين HashDit، على أنه 0x0dd28fd7d343401e46c1af33031b27aed2152396، وتم تصميمه لاحتجاز اتصالات المحافظ واستخراج الرموز الموافق عليها. بمجرد أن يمنح المستخدمون الأذونات اللازمة، يمكن للمهاجمين سحب الأموال بشكل مستقل دون الحاجة إلى أي إجراء أو توقيع إضافي من المستخدم. فقد ضحية واحدة وحدها 123,597 USDT، مما يوضح الأثر المالي الكبير لكل حساب متضرر.

لماذا تعتبر هجمات الواجهة الأمامية خطيرة بشكل خاص

تعمل هذه الفئة من الحوادث الأمنية على مستوى تفاعل المستخدم بدلاً من مستوى العقود الذكية، مما يجعل من الصعب بشكل كبير على المستخدمين غير التقنيين اكتشافها. يقوم المهاجمون بالتلاعب بالواجهة وحقن رمز خبيث لاعتراض المعاملات أو إعادة توجيه الأصول بعد منح الأذونات. تظل أمانة البلوكشين سليمة، لكن بوابة المستخدم المباشرة إلى ذلك الأمان قد تم اختراقها.

تركز ممارسات أمان المحافظ التقليدية على حماية ضد استغلال العقود الذكية، لكن الاختراقات على مستوى الواجهة تتطلب عقلية دفاعية مختلفة. غالبًا ما يفتقر المستخدمون إلى المعرفة التقنية لتمييز بين الواجهة الشرعية ونسخة التصيد المقنعة، خاصة عندما تخدم كلاهما نفس الغرض وتستخدم تصميمًا بصريًا مشابهًا.

الرد الفوري وتدابير التخفيف

أقر Zerobase بسرعة بالحادث من خلال إعلان رسمي، محذرًا المستخدمين الذين تفاعلوا مع العقد الخبيث. نفذت البروتوكول تدابير حماية آلية مصممة خصيصًا لحماية حاملي المحافظ المتضررين. وفقًا لبيان Zerobase: “عند وصولك إلى ZEROBASE Staking، إذا تم اكتشاف أن محفظتك تفاعلت مع هذا العقد، فسيقوم النظام تلقائيًا بحظر الإيداعات والسحوبات حتى يتم إلغاء الموافقة على عقد التصيد.”

نصحت Lookonchain جميع المستخدمين المتضررين بإجراء تدقيق فوري لأذونات محافظهم. تتيح خدمات مثل revoke.cash للمستخدمين مراجعة وإلغاء أي موافقات عقد مشبوهة أو غير ضرورية، مما يزيل قدرة المهاجم على الوصول إلى الأموال. تعتبر هذه التدابير الوقائية ضرورية لأي شخص منح أذونات رمزية لعقود غير معروفة أو مشكوك فيها.

بالإضافة إلى ذلك، اتخذ مقدمو خدمات المحافظ إجراءات لاحتواء الضرر. قامت هذه المنصات بحظر النطاق المشبوه الذي يستضيف النشاط الخبيث وقامت بقائمة سوداء للعقود الذكية ذات الصلة لمنع المزيد من مخاطر التفويض. تلقى المستخدمون المتضررون تنبيهات تلقائية خلال 30 دقيقة، نصحتهم بمراجعة وإلغاء أي أذونات مرتبطة بالواجهة المخترقة.

التداعيات الأمنية الأوسع للنظام البيئي

تؤكد حادثة Zerobase على تحدٍ مستمر في التمويل اللامركزي: فالأمان في بروتوكولات البلوكشين يمتد فقط إلى حد معين عندما يتفاعل المستخدمون عبر واجهات عرضة للاختراق. مع نضوج النظام البيئي، انتقل سطح الهجوم من ثغرات العقود الذكية إلى نقطة الضعف الأكثر وصولًا وهي تطبيقات الويب المخترقة.

يعكس هذا النمط واقعًا صناعيًا — يجب على البروتوكولات أن تؤمن مكوناتها على السلسلة، وأن تنفذ آليات مراقبة واستجابة سريعة للتهديدات خارج السلسلة. كما يبرز الحادث سبب ضرورة توخي المستخدمين الحذر الشديد عند الموافقة على صلاحيات إنفاق الرموز، خاصة للبروتوكولات الجديدة أو الأقل شهرة.

تمثل أمان الواجهة الأمامية عنصرًا حيويًا غالبًا ما يُغفل، ولكنه أساسي لمرونة المنصة بشكل عام. مع استمرار المهاجمين في استهداف هذه الواجهات، يجب على كل من البروتوكولات ومزودي المحافظ الحفاظ على يقظة دائمة وتنفيذ أنظمة كشف متعددة الطبقات لحماية المستخدمين من عمليات التصيد المتطورة التي تستغل الواجهات الشرعية لاستخراج الموافقات وسحب الأموال.